Tutorial: Comment vérifier les journaux de connexion du serveur Windows RDP
Ce post présente principalement les méthodes pour vérifier les journaux de connexion du serveur Windows RDP. Si vous souhaitez connaître les connexions RDP entrantes et sortantes sur votre serveur Windows, continuez à lire !
Par Tyler Mis à jour le 21/01/2025
Y a-t-il un fichier journal pour les connexions RDP ?
Est-ce qu"un fichier journal est conservé pour les connexions RDP ? Bien sûr, vous pouvez surveiller les connexions RDP entrantes et sortantes. Les informations concernant ces événements sont enregistrées lorsqu"un utilisateur se connecte à un hôte de bureau à distance. Il vous suffit de savoir comment les trouver.
Comment vérifier les journaux de connexions RDP sur un serveur Windows
Voici trois méthodes qui vous aideront à vérifier les journaux de connexions entrantes et sortantes RDP sur un serveur Windows. Ces méthodes sont applicables lorsque vous analysez les journaux RDP pour les éditions serveur (Windows Server 2022/2019/2016/2012 R2) et les éditions de bureau (Windows 11, 10, 8.1, 8 et 7).
Partie 1. Comment vérifier les journaux de connexions RDP entrantes sur un serveur Windows
Il existe trois méthodes pour vous aider à vérifier les journaux des connexions RDP entrantes sur un serveur Windows.
Méthode 1. Vérifier les journaux de connexions RDP entrantes via l"Observateur d"événements
La première méthode pour vérifier les journaux des connexions RDP entrantes sur un serveur Windows consiste à utiliser l"Observateur d"événements.
Étape 1. Appuyez sur Win R pour ouvrir la boîte de dialogue Exécuter, puis saisissez "eventvwr.msc" et appuyez sur OK pour ouvrir l"Observateur d"événements.
Étape 2. Naviguez ici : Applications et services Logs > Microsoft >Windows > TerminalServices-RemoteConnectionManager > Opération. Cliquez avec le bouton droit sur Opération et choisissez Filter Current Log.
Étape 3. L"ID d"événement pour les services de bureau à distance est 1149. Saisissez ensuite 1149 pour filtrer le journal.
Étape 4. Vous obtiendrez ensuite une liste d"événements avec l"historique de toutes les connexions RDP vers ce serveur.
Étape 5. Cliquez sur l"un d"eux pour voir les détails de la connexion RDP, y compris l"adresse IP, le nom de l"ordinateur, l"heure de connexion, etc.
Méthode 2. Vérifier les journaux des connexions RDP entrantes via le Registre
Vous pouvez également vérifier les journaux des connexions RDP entrantes dans le Registre.
Étape 1. Appuyez sur Win R pour ouvrir la boîte de dialogue Exécuter, puis tapez "regedit" et appuyez sur OK pour ouvrir le Registre.
Étape 2. Accédez ici : HKEY_CURRENT_USER > SOFTWARE > Microsoft > Terminal Server Client. Développez la clé Default, elle contient l"historique des 10 dernières connexions RDP.
Étape 3. Vous pouvez également développer la clé Servers, elle contient la liste de tous les serveurs RDP et noms d"utilisateur utilisés précédemment pour se connecter. Si vous souhaitez effacer l"historique des connexions RDP, vous pouvez faire un clic droit dessus et le supprimer.
Méthode 3. Vérifier les journaux des connexions RDP entrantes via PowerShell
Le script PowerShell ci-dessous propose une autre méthode pour inspecter les journaux des connexions Bureau à distance sur Windows Server 2012 R2/2016/2019/2022. Il affiche l"historique de toutes les connexions RDP à partir des journaux d"événements du serveur RDS terminal pour la journée en cours. Le tableau résultant affiche l"heure de connexion, l"adresse IP du client, le nom d"utilisateur distant et le type de connexion.
Étape 1. Faites un clic droit sur Démarrer, puis choisissez Windows PowerShell (Admin).
Étape 2. Saisissez le script suivant, puis vous verrez les journaux de connexion RDP entrants.
|
Get-EventLog -LogName Sécurité -after (Get-date -hour 0 -minute 0 -second 0)| ?{(4624,4778) -contains $_.EventID -and $_.Message -match "type de connexion:\s (10)\s"}| %{ (new-object -Type PSObject -Property @{ TimeGenerated = $_.TimeGenerated ClientIP = $_.Message -replace "(?smi).*Adresse réseau source:\s ([^\s] )\s .*","$1" NomUtilisateur = $_.Message -replace "(?smi).*\s\sNom du compte:\s ([^\s] )\s .*","$1" DomaineUtilisateur = $_.Message -replace "(?smi).*\s\sDomaine du compte:\s ([^\s] )\s .*","$1" TypeConnexion = $_.Message -replace "(?smi).*Type de connexion:\s ([^\s] )\s .*","$1" }) } | sort TimeGenerated -Descending | Select TimeGenerated, ClientIP ` , @{N="NomUtilisateur";E={"{0}\{1}" -f $_.DomaineUtilisateur,$_.NomUtilisateur}} ` , @{N="TypeJournal";E={ switch ($_.TypeConnexion) { 2 {"Interaction - connexion locale"} 3 {"Connexion réseau au dossier partagé"} 4 {"Lot"} 5 {"Service"} 7 {"Déverrouillage (après l"économiseur d"écran)"} 8 {"Texte non chiffré du réseau"} 9 {"Nouvelles informations d"identification (processus d"impersonation locale en vertu d"une connexion existante)"} 10 {"RDP"} 11 {"Mise en cache interactive"} défaut {"Type de journal non reconnu : $($_.TypeConnexion)"} } }} |
Partie 2. Comment vérifier les journaux de connexion sortants RDP Windows Server
Les journaux de connexion sortants RDP peuvent également être consultés côté client. Il existe deux options.
Méthode 1. Vérifier les journaux de connexion sortants RDP via l"Observateur d"événements
Le journal d"événements suivant contient les journaux de connexion sortants RDP : Applications et services > Microsoft > Windows > TerminalServices-ClientActiveXCore > Microsoft-Windows-TerminalServices-RDPClient > Operational. Lorsqu"un utilisateur se connecte à un hôte RDS Windows Server distant ou à un ordinateur Windows 10/11, par exemple, l"événement ID 1102 se produit.
Méthode 2. Vérifier les journaux de connexion sortants RDP via PowerShell
Il existe un script PowerShell qui permet d"afficher l"historique des connexions clientes RDP sur l"ordinateur actuel. Le script renvoie les SIDs des utilisateurs qui ont initié des connexions RDP sur cet ordinateur, ainsi que les noms DNS/ adresses IP des hôtes Bureau à distance auxquels les utilisateurs se sont connectés.
| $properties = @( @{n="Horodatage";e={$_.TimeCreated}} @{n="Utilisateur local";e={$_.UserID}} @{n="Hôte RDP cible";e={$_.Properties[1].Value}} ) Get-WinEvent -FilterHashTable @{LogName="Microsoft-Windows-TerminalServices-RDPClient/Operational";ID="1102"} | Select-Object $properties |
AnyViewer : Vérifiez facilement les journaux de connexion sortants sur Windows
Si vous utilisez le logiciel Bureau à distance gratuit AnyViewer, il vous sera facile de vérifier les connexions distantes sortantes que vous avez effectuées depuis votre ordinateur. AnyViewer prend en charge à la fois les serveurs Windows et les systèmes d"exploitation Windows. Suivez les étapes détaillées ci-dessous.
Étape 1. Téléchargez, installez et lancez AnyViewer sur votre ordinateur.
Étape 2. Si vous avez déjà un compte AnyViewer, vous pouvez vous connecter directement. Sinon, remplissez les informations d"inscription et cliquez sur S"inscrire pour créer un compte AnyViewer.
Étape 3. Ensuite, vous verrez que vous êtes connecté avec succès à AnyViewer. Allez dans l"onglet Appareil, vérifiez la liste Actuellement connecté. Cette liste répertorie les 10 dernières connexions distantes que vous avez effectuées.
Étape 4. Vous pouvez également choisir un appareil spécifique et cliquer sur Propriétés. Vous pouvez voir l"adresse IP de l"ordinateur auquel vous vous êtes connecté, ainsi que l"heure de la connexion spécifique.
Conclusion
Cet article présente principalement les moyens de vérifier les journaux de connexion du serveur Windows RDP. Cela serait très utile si vous souhaitez connaître les connexions RDP entrantes et sortantes sur votre serveur Windows. Si vous utilisez AnyViewer, il vous sera plus facile de vérifier les connexions à distance que vous avez établies.
